Veröffentlicht am 5. Oktober 2015 | Aktualisiert am 28. April 2016
Im Rahmen unseres monatlichen Veröffentlichungsprozesses für Android Security Bulletin haben wir ein Sicherheitsupdate für Nexus-Geräte über ein Over-the-Air-Update (OTA) veröffentlicht. Die Nexus-Firmware-Images wurden auch auf der Google Developer-Website veröffentlicht. Builds LMY48T oder höher (z. B. LMY48W) und Android M mit Sicherheitspatch-Level vom 1. Oktober 2015 oder höher beheben diese Probleme. Anweisungen zum Überprüfen des Sicherheitspatch-Levels finden Sie in der Nexus-Dokumentation .
Die Partner wurden am 10. September 2015 oder früher über diese Probleme informiert. Quellcode-Patches für diese Probleme wurden im Android Open Source Project (AOSP)-Repository veröffentlicht.
Das schwerwiegendste dieser Probleme ist eine kritische Sicherheitslücke, die bei der Verarbeitung von Mediendateien die Remote-Codeausführung auf einem betroffenen Gerät über mehrere Methoden wie E-Mail, Webbrowsing und MMS ermöglichen könnte. Die Bewertung des Schweregrads basiert auf den Auswirkungen, die das Ausnutzen der Schwachstelle möglicherweise auf ein betroffenes Gerät hätte, vorausgesetzt, dass die Plattform- und Service-Abhilfemaßnahmen für Entwicklungszwecke deaktiviert oder erfolgreich umgangen werden.
Uns liegen keine Berichte über eine aktive Ausnutzung dieser neu gemeldeten Probleme durch Kunden vor. Einzelheiten zu den Schutzmaßnahmen der Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet, die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt „ Abhilfemaßnahmen “. Wir empfehlen allen Kunden, diese Updates für ihre Geräte zu akzeptieren.
Abhilfemaßnahmen
Dies ist eine Zusammenfassung der Abhilfemaßnahmen, die die Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie SafetyNet bieten. Diese Funktionen verringern die Wahrscheinlichkeit, dass Sicherheitslücken auf Android erfolgreich ausgenutzt werden können.
- Die Ausnutzung vieler Probleme auf Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Android-Version zu aktualisieren.
- Das Android-Sicherheitsteam überwacht aktiv Missbrauch mit Verify Apps und SafetyNet, das vor der Installation potenziell schädlicher Anwendungen warnt. Geräte-Rooting-Tools sind bei Google Play verboten. Um Benutzer zu schützen, die Anwendungen von außerhalb von Google Play installieren, ist Verify Apps standardmäßig aktiviert und warnt Benutzer vor bekannten Root-Anwendungen. Verify Apps versucht, die Installation bekannter schädlicher Anwendungen zu identifizieren und zu blockieren, die eine Sicherheitslücke bei der Rechteausweitung ausnutzen. Wenn eine solche Anwendung bereits installiert wurde, benachrichtigt Verify Apps den Benutzer und versucht, solche Anwendungen zu entfernen.
- Google hat die Hangouts- und Messenger-Anwendungen entsprechend aktualisiert, sodass Medien nicht automatisch an anfällige Prozesse (z. B. Medienserver) weitergeleitet werden.
Danksagungen
Wir möchten diesen Forschern für ihre Beiträge danken:
- Brennan Lautner: CVE-2015-3863
- Chiachih Wu und Xuxian Jiang vom C0RE-Team von Qihoo 360: CVE-2015-3868, CVE-2015-3869, CVE-2015-3862
- Yajin Zhou, Lei Wu und Xuxian Jiang vom C0RE-Team von Qihoo 360: CVE-2015-3865
- Daniel Micay (daniel.micay@copperhead.co) bei Copperhead Security: CVE-2015-3875
- Dragonltx vom Alibaba Mobile Security Team: CVE-2015-6599
- Ian Beer und Steven Vittitoe von Google Project Zero: CVE-2015-6604
- Joaquín Rinaudo (@xeroxnir) und Iván Arce (@4Dgifts) von Programa STIC bei Fundación Dr. Manuel Sadosky, Buenos Aires, Argentinien: CVE-2015-3870
- Josh Drake von Zimperium: CVE-2015-3876, CVE-2015-6602
- Jordan Gruskovnjak von Exodus Intelligence (@jgrusko): CVE-2015-3867
- Peter Pi von Trend Micro: CVE-2015-3872, CVE-2015-3871
- Ping Li von Qihoo 360 Technology Co. Ltd: CVE-2015-3878
- Sieben Shen: CVE-2015-6600, CVE-2015-3847
- Wangtao (neobyte) von Baidu X-Team: CVE-2015-6598
- Wish Wu von Trend Micro Inc. (@wish_wu): CVE-2015-3823
- Michael Roland vom JR-Center u'smile an der FH Oberösterreich/ Hagenberg: CVE-2015-6606
Wir möchten uns auch für die Beiträge des Chrome-Sicherheitsteams, des Google-Sicherheitsteams, von Project Zero und anderer Personen bei Google bedanken, die mehrere in diesem Bulletin behobene Probleme gemeldet haben.
Details zur Sicherheitslücke
In den folgenden Abschnitten stellen wir Einzelheiten zu den einzelnen Sicherheitslücken bereit, die für den Patch-Level 2015-10-01 gelten. Es gibt eine Beschreibung des Problems, eine Begründung für den Schweregrad und eine Tabelle mit dem CVE, dem zugehörigen Fehler, dem Schweregrad, den betroffenen Versionen und dem gemeldeten Datum. Sofern verfügbar, haben wir die AOSP-Änderung, die das Problem behoben hat, mit der Fehler-ID verknüpft. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche AOSP-Referenzen mit Nummern verknüpft, die der Fehler-ID folgen.
Sicherheitslücken bei der Remotecodeausführung in libstagefright
In libstagefright bestehen Sicherheitslücken, die es einem Angreifer ermöglichen könnten, während der Mediendatei und der Datenverarbeitung einer speziell gestalteten Datei eine Speicherbeschädigung und eine Remotecodeausführung im Medienserverdienst zu verursachen.
Diese Probleme werden als kritisch eingestuft, da die Möglichkeit einer Remotecodeausführung als privilegierter Dienst besteht. Die betroffenen Komponenten haben Zugriff auf Audio- und Videostreams sowie Zugriff auf Berechtigungen, auf die Anwendungen von Drittanbietern normalerweise nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-3873 | ANDROID-20674086 [ 2 , 3 , 4 ] | Kritisch | 5.1 und darunter | Google-intern |
| ANDROID-20674674 [ 2 , 3 , 4 ] | ||||
| ANDROID-20718524 | ||||
| ANDROID-21048776 | ||||
| ANDROID-21443020 | ||||
| ANDROID-21814993 | ||||
| ANDROID-22008959 | ||||
| ANDROID-22077698 | ||||
| ANDROID-22388975 | ||||
| ANDROID-22845824 | ||||
| ANDROID-23016072 | ||||
| ANDROID-23247055 | ||||
| ANDROID-23248776 | ||||
| ANDROID-20721050 | Kritisch | 5.0 und 5.1 | Google-intern | |
| CVE-2015-3823 | ANDROID-21335999 | Kritisch | 5.1 und darunter | 20. Mai 2015 |
| CVE-2015-6600 | ANDROID-22882938 | Kritisch | 5.1 und darunter | 31. Juli 2015 |
| CVE-2015-6601 | ANDROID-22935234 | Kritisch | 5.1 und darunter | 3. August 2015 |
| CVE-2015-3869 | ANDROID-23036083 | Kritisch | 5.1 und darunter | 4. August 2015 |
| CVE-2015-3870 | ANDROID-22771132 | Kritisch | 5.1 und darunter | 5. August 2015 |
| CVE-2015-3871 | ANDROID-23031033 | Kritisch | 5.1 und darunter | 6. August 2015 |
| CVE-2015-3868 | ANDROID-23270724 | Kritisch | 5.1 und darunter | 6. August 2015 |
| CVE-2015-6604 | ANDROID-23129786 | Kritisch | 5.1 und darunter | 11. August 2015 |
| CVE-2015-3867 | ANDROID-23213430 | Kritisch | 5.1 und darunter | 14. August 2015 |
| CVE-2015-6603 | ANDROID-23227354 | Kritisch | 5.1 und darunter | 15. August 2015 |
| CVE-2015-3876 | ANDROID-23285192 | Kritisch | 5.1 und darunter | 15. August 2015 |
| CVE-2015-6598 | ANDROID-23306638 | Kritisch | 5.1 und darunter | 18. August 2015 |
| CVE-2015-3872 | ANDROID-23346388 | Kritisch | 5.1 und darunter | 19. August 2015 |
| CVE-2015-6599 | ANDROID-23416608 | Kritisch | 5.1 und darunter | 21. August 2015 |
Schwachstellen bei der Remotecodeausführung in Sonivox
Es bestehen Sicherheitslücken in Sonivox, die es einem Angreifer ermöglichen könnten, während der Mediendateiverarbeitung einer speziell gestalteten Datei eine Speicherbeschädigung und eine Remotecodeausführung im Medienserverdienst zu verursachen. Dieses Problem wird als kritisch eingestuft, da die Möglichkeit einer Remotecodeausführung als privilegierter Dienst besteht. Die betroffene Komponente hat Zugriff auf Audio- und Videostreams sowie Zugriff auf Berechtigungen, auf die Anwendungen von Drittanbietern normalerweise nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-3874 | ANDROID-23335715 | Kritisch | 5.1 und darunter | Mehrere |
| ANDROID-23307276 [ 2 ] | ||||
| ANDROID-23286323 |
Sicherheitslücken bei der Remotecodeausführung in libutils
In libutils, einer generischen Bibliothek, bestehen Sicherheitslücken bei der Verarbeitung von Audiodateien. Diese Schwachstellen könnten es einem Angreifer ermöglichen, während der Verarbeitung einer speziell gestalteten Datei eine Speicherbeschädigung und eine Remotecodeausführung in einem Dienst zu verursachen, der diese Bibliothek verwendet, z. B. Mediaserver.
Die betroffene Funktionalität wird als Anwendungs-API bereitgestellt und es gibt mehrere Anwendungen, die den Zugriff auf Remote-Inhalte ermöglichen, insbesondere MMS und Browser-Wiedergabe von Medien. Dieses Problem wird aufgrund der Möglichkeit einer Remotecodeausführung in einem privilegierten Dienst als kritisch eingestuft. Die betroffene Komponente hat Zugriff auf Audio- und Videostreams sowie Zugriff auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-3875 | ANDROID-22952485 | Kritisch | 5.1 und darunter | 15. August 2015 |
| CVE-2015-6602 | ANDROID-23290056 [ 2 ] | Kritisch | 5.1 und darunter | 15. August 2015 |
Sicherheitslücke bezüglich Remotecodeausführung in Skia
Bei der Verarbeitung einer speziell gestalteten Mediendatei kann eine Sicherheitslücke in der Skia-Komponente ausgenutzt werden, die zu Speicherbeschädigung und Remotecodeausführung in einem privilegierten Prozess führen kann. Dieses Problem wird als „Kritisch“ eingestuft, da bei der Verarbeitung von Mediendateien die Möglichkeit einer Remotecodeausführung durch mehrere Angriffsmethoden wie E-Mail, Webbrowsing und MMS besteht.
| CVE | Fehler mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-3877 | ANDROID-20723696 | Kritisch | 5.1 und darunter | 30. Juli 2015 |
Sicherheitslücken bei der Remotecodeausführung in libFLAC
In libFLAC besteht eine Sicherheitslücke bei der Verarbeitung von Mediendateien. Diese Schwachstellen könnten es einem Angreifer ermöglichen, während der Verarbeitung einer speziell gestalteten Datei eine Speicherbeschädigung und eine Remotecodeausführung zu verursachen.
Die betroffene Funktionalität wird als Anwendungs-API bereitgestellt und es gibt mehrere Anwendungen, die den Zugriff auf Remote-Inhalte ermöglichen, beispielsweise die Browserwiedergabe von Medien. Dieses Problem wird aufgrund der Möglichkeit einer Remotecodeausführung in einem privilegierten Dienst als kritisch eingestuft. Die betroffene Komponente hat Zugriff auf Audio- und Videostreams sowie Zugriff auf Berechtigungen, auf die Apps von Drittanbietern normalerweise nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2014-9028 | ANDROID-18872897 [ 2 ] | Kritisch | 5.1 und darunter | 14. November 2014 |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im KeyStore
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in der KeyStore-Komponente kann von einer böswilligen Anwendung ausgenutzt werden, wenn sie die KeyStore-APIs aufruft. Diese Anwendung kann im Kontext von KeyStore zu Speicherbeschädigungen und zur Ausführung willkürlichen Codes führen. Dieses Problem wird als „Hoher Schweregrad“ eingestuft, da es für den Zugriff auf Berechtigungen verwendet werden kann, auf die eine Drittanbieteranwendung nicht direkt zugreifen kann.
| CVE | Fehler mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-3863 | ANDROID-22802399 | Hoch | 5.1 und darunter | 28. Juli 2015 |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Media Player Framework
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in der Media-Player-Framework-Komponente könnte es einer böswilligen Anwendung ermöglichen, beliebigen Code im Kontext von Mediaserver auszuführen. Dieses Problem wird als „Hoher Schweregrad“ eingestuft, da es einer böswilligen Anwendung den Zugriff auf Berechtigungen ermöglicht, auf die eine Drittanbieteranwendung nicht zugreifen kann.
| CVE | Fehler mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-3879 | ANDROID-23223325 [2]* | Hoch | 5.1 und darunter | 14. August 2015 |
* Eine zweite Änderung für dieses Problem gibt es nicht in AOSP. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in Android Runtime
Eine Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in Android Runtime kann es einer lokalen Schadanwendung ermöglichen, beliebigen Code im Kontext einer Systemanwendung mit erhöhten Rechten auszuführen. Dieses Problem wird als „Hoher Schweregrad“ eingestuft, da es verwendet werden kann, um erweiterte Funktionen wie Signature- oder SignatureOrSystem -Berechtigungen zu erhalten, auf die eine Drittanbieteranwendung nicht zugreifen kann.
| CVE | Fehler mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-3865 | ANDROID-23050463 [ 2 ] | Hoch | 5.1 und darunter | 8. August 2015 |
Sicherheitslücken bezüglich der Erhöhung von Berechtigungen in Mediaserver
Es gibt mehrere Schwachstellen im Mediaserver, die es einer lokalen Schadanwendung ermöglichen können, beliebigen Code im Kontext eines privilegierten nativen Dienstes auszuführen. Dieses Problem wird als „Hoher Schweregrad“ eingestuft, da es für den Zugriff auf Berechtigungen verwendet werden kann, auf die eine Drittanbieteranwendung nicht direkt zugreifen kann.
| CVE | Fehler mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6596 | ANDROID-20731946 | Hoch | 5.1 und darunter | Mehrere |
| ANDROID-20719651* | ||||
| ANDROID-19573085 | Hoch | 5,0 - 6,0 | Google-intern |
* Der Patch für dieses Problem ist nicht in AOSP enthalten. Das Update ist in den neuesten Binärtreibern für Nexus-Geräte enthalten, die auf der Google Developer-Website verfügbar sind.
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen im Secure Element Evaluation Kit
Eine Schwachstelle im SEEK- Plugin (Secure Element Evaluation Kit, auch bekannt als SmartCard API) könnte es einer Anwendung ermöglichen, erhöhte Berechtigungen zu erhalten, ohne diese anzufordern. Dieses Problem wird als „Hoher Schweregrad“ eingestuft, da es verwendet werden kann, um erweiterte Funktionen wie Signature- oder SignatureOrSystem -Berechtigungen zu erhalten, auf die Anwendungen von Drittanbietern nicht zugreifen können.
| CVE | Fehler mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6606 | ANDROID-22301786* | Hoch | 5.1 und darunter | 30. Juni 2015 |
* Das Upgrade, das dieses Problem behebt, finden Sie auf der SEEK-Website für Android .
Erhöhung der Sicherheitslücke in der Medienprojektion
Eine Schwachstelle in der Media Projection-Komponente kann dazu führen, dass Benutzerdaten in Form von Bildschirmfotos offengelegt werden. Das Problem ist darauf zurückzuführen, dass das Betriebssystem zu lange Anwendungsnamen zulässt. Die Verwendung dieser langen Namen durch eine lokale Schadanwendung kann dazu führen, dass eine Warnung zur Bildschirmaufzeichnung für den Benutzer nicht sichtbar ist. Dieses Problem wird als mittlerer Schweregrad eingestuft, da es dazu verwendet werden kann, fälschlicherweise erhöhte Berechtigungen zu erhalten.
| CVE | Fehler mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-3878 | ANDROID-23345192 | Mäßig | 5,0 - 6,0 | 18. August 2015 |
Sicherheitslücke bezüglich der Erhöhung von Berechtigungen in Bluetooth
Eine Schwachstelle in der Bluetooth-Komponente von Android könnte es einer Anwendung ermöglichen, gespeicherte SMS-Nachrichten zu löschen. Dieses Problem wird als mittlerer Schweregrad eingestuft, da es dazu verwendet werden kann, fälschlicherweise erhöhte Berechtigungen zu erhalten.
| CVE | Fehler mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-3847 | ANDROID-22343270 | Mäßig | 5.1 und darunter | 8. Juli 2015 |
Sicherheitslücken bezüglich der Erhöhung von Berechtigungen in SQLite
In der SQLite-Parsing-Engine wurden mehrere Schwachstellen entdeckt. Diese Schwachstellen können von einer lokalen Anwendung ausgenutzt werden, die dazu führen kann, dass eine andere Anwendung oder ein anderer Dienst beliebige SQL-Abfragen ausführt. Eine erfolgreiche Ausnutzung könnte zur Ausführung willkürlichen Codes im Kontext der Zielanwendung führen.
Am 8. April 2015 wurde ein Fix auf AOSP Main hochgeladen, der die SQLite-Version auf 3.8.9 aktualisiert: https://android-review.googlesource.com/#/c/145961/
Dieses Bulletin enthält Patches für die SQLite-Versionen in Android 4.4 (SQLite 3.7.11) und Android 5.0 und 5.1 (SQLite 3.8.6).
| CVE | Fehler mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6607 | ANDROID-20099586 | Mäßig | 5.1 und darunter | 7. April 2015 Öffentlich bekannt |
Denial-of-Service-Schwachstellen in Mediaserver
Es gibt mehrere Schwachstellen im Mediaserver, die durch einen Absturz des Mediaserver-Prozesses einen Denial-of-Service verursachen können. Diese Probleme werden als „Niedriger Schweregrad“ eingestuft, da die Auswirkung durch einen Absturz des Medienservers auftritt, der zu einer lokalen vorübergehenden Dienstverweigerung führt.
| CVE | Fehler mit AOSP-Links | Schwere | Betroffene Versionen | Datum gemeldet |
|---|---|---|---|---|
| CVE-2015-6605 | ANDROID-20915134 | Niedrig | 5.1 und darunter | Google-intern |
| ANDROID-23142203 | ||||
| ANDROID-22278703 | Niedrig | 5,0 - 6,0 | Google-intern | |
| CVE-2015-3862 | ANDROID-22954006 | Niedrig | 5.1 und darunter | 2. August 2015 |
Überarbeitungen
- 5. Oktober 2015: Bulletin veröffentlicht.
- 7. Oktober 2015: Bulletin mit AOSP-Referenzen aktualisiert. Die Fehlerreferenzen für CVE-2014-9028 wurden geklärt.
- 12. Oktober 2015: Aktualisierte Danksagungen für CVE-2015-3868, CVE-2015-3869, CVE-2015-3865, CVE-2015-3862.
- 22. Januar 2016: Aktualisierte Danksagungen für CVE-2015-6606.
- 28. April 2016: CVE-2015-6603 hinzugefügt und Tippfehler mit CVE-2014-9028 korrigiert.